Expertpanelen: Checklista för att täta it-läckorna

Riskerar du också en läcka?
Wikileaks började i slutet av november offentliggöra över 250 000 dokument från amerikanska utrikesdepartementet och dess ambassader. Dokument som i många fall har hög sekretessklassning. Publiceringen fick enorm uppmärksamhet i media och vi är nog många som funderat lite mer än vanligt kring informationssäkerhet. Enligt mina erfarenheter är företag generellt sett dåliga på att klargöra vad som är företagshemligheter. Jag vill därför ge några råd och tips.

Detta tycker jag att du som CFO bör ha grepp på:

  •  Lagar och regler

Bland annat Personuppgiftslagen, Offentlighets- och sekretesslagen samt lagen om skydd för företagshemligheter reglerar information som kan kräva sekretess. Håll dig uppdaterad kring dessa – i bästa fall kan företagets jurister ge stöd, i annat fall kan det vara en god idé att anlita en extern jurist. Se också till att anställningsavtalen reglerar sekretess även efter avslutad anställning, eftersom detta inte är reglerat på annat sätt.

  • Informationssäkerhetspolicy

Se till att ni har en tydlig företagspolicy kring informationssäkerhet. Den ska beskriva målet med säkerhetsarbetet, ange roller och ansvar samt ge riktlinjer för bland annat riskhantering, säkerhetsutbildning och kontinuitetsplanering. Ta hjälp av den svenska standarden SS-ISO/IEC 27002:2005! En enkel informationsklassning kan också bidra – med exempelvis klasserna ”publikt”, ”internt” och ”konfidentiellt”. Kanske kommer principen ”Need-to-know” att användas lite oftare framöver – den innebär att ingen ska ha tillgång till mer information än vad som behövs för att lösa tilldelade arbetsuppgifter. Här behöver man som företag finna en balans mellan slutenhet och säkerhet respektive öppenhet och kreativitet! Ge också medarbetarna regler för vilken typ av information ni kan ge till samarbetspartners respektive kunder.

  •  Tekniskt skydd

Det finns en rad tekniska lösningar som kan förhindra informationsläckage, som kan vara värda att investera i. Ett stort problem är alla USB-minnen – de tappas lätt bort av medarbetarna. Här kan kryptering och striktare kontroll ge ökad säkerhet. Endast företagets egna USB-minnen bör få användas. Gör ett centralt inköp, numrera alla minnen och håll sedan koll på vem som kvitterat ut vad. Och ställ krav på att alla USB-minnen märks med namn och telefonnummer! Administrativt tungt? Ja, till viss del, men så innehåller också dessa USB-minnen mycket av den kritiska och dagsaktuella informationen i företaget!

  • Kryptera

Krypterad e-post till kunder och samarbetsparter är ett annat sätt att öka skyddet. Här finns många användbara lösningar. Be några leverantörer presentera hur just er situation kan stödjas av e-post-kryptering. Se även över vilka möjligheter till spårbarhet som finns i era IT-system. I många fall sker loggning standardmässigt och utan någon form av regelbunden uppföljning. Kör ett testscenario med några fejkade oegentligheter och be sedan IT-avdelningen klara ut vad som hänt. Troligen kommer luckorna i loggningen att bli tydliga… Se också över avtalen med externa IT-leverantörer så att säkerhetsfrågorna är tydligt reglerade.

  • Lojalitet

WikiLeaks-läckan påminner oss även om insider-risken. Det är en risk vi måste leva med, eftersom våra medarbetare alltid måste få ett visst ansvar och förtroende. Lojala medarbetare minskar riskerna för informationsläckage – här finns en mycket stor utmaning! Mitt tips är att ett gott ledarskap och en god personalpolitik är de bästa lojalitetsskapande verktygen. I de flesta organisationer finns möjligheter till förbättringar – ledningsgruppen bör avsätta tid att diskutera detta ordentligt minst en gång per år, därefter besluta om åtgärder och löpande följa upp dessa.

Till sist – Vad gör du när läckan är ett faktum och dina konkurrenter fått information de inte bör se? Tänk igenom möjliga incidenter och ha en beredskap för det oväntade!

Om skribenten: Martin Bergling är civilingenjör och säkerhetskonsult på IBM Svenska AB. Han har arbetat med risk- och säkerhetsfrågor i drygt 20 år. De åsikter som framförs är skribentens egna.